伴随着网络规模的不断扩大,计算机的数量经常超过可供分配的IP地址数量。便携机及无线网络的广泛使用导致计算机的位置经常变化,相应的IP地址也必须经常更新。为了动态合理地为主机分配IP地址,需要用到DHCP技术
DHCP加入了对重新使用的网络地址的动态分配和附加配置选项的功能,可使计算机仅用一个消息就获取它所需要的所有配置信息。
DHCP允许计算机动态地获取IP地址,而不只是静态为每台主机指定地址。
DHCP技术实现用户地址和配置信息的动态分配和集中管理,使企业可以动态地为企业用户分配和管理地址,避免繁琐的手工配置,可以快速适应网络的变化
DHCP报文是基于UDP协议传输的。
DHCP客户端向DHCP服务器发送报文时采用67端口号。
DHCP服务器向DHCP客户端发送报文时采用68端口号。
客户端发送DHCP DISCOVER报文来发现DHCP服务器,携带了客户端的MAC地址和需要请求的参数列表
服务器接收到DHCP DISCOVER报文后,选择跟接收DHCP discover 报文接口的ip地址同一网段的地址池,并选择一个可用的ip地址,通过DHCP OFFER 报文发送给DHCP 客户端
所以如果同一网段内存在多个DHCP服务器,接收到DHCP DISCOVER报文的服务器都会回应DHCP OFFER报文。如果有多个DHCP服务器向DHCP客户端回应DHCP OFFER报文,则DHCP客户端一般只接收第一个收到的DHCP OFFER报文,然后以广播方式发送DHCP REQUEST报文,该报文中包含客户端想选择的DHCP服务器标识符(即Option54)和客户端IP地址(即Option50,填充了接收的DHCP OFFER报文中yiaddr字段的IP地址)。
DHCP客户端接收到DHCP ACK报文,会广播发送免费ARP报文,探测本网段是否有其他终端使用服务器分配的地址
PC使用DHCP模式进行动态DHCP地址分配
全网使用OSPF全互联
R3配置:
ip pool gg 创建地址池
gateway-list 192.168.1.254 网关地址
network 192.168.1.0 mask 255.255.255.0 网段地址
static-bind ip-address 192.168.1.100 mac-address 5489-98cf-8367 指定分配
excluded-ip-address 192.168.1.253 拒绝的地址
lease day 30 hour 10 minute 5 租期时间 30小时10分5秒
dns-list 6.6.6.6 dns地址
domain-name galaxy.com dns域名后缀
inter g 0/0/1:dhcp select global ---基于地址池
R1:
inter e 0/0/1: dhcp select relay ---dhcp 中继
dhcp relay server-ip 192.168.23.2 指向dhcp server 的地址
使能DHCP Snooping功能。
dhcp enable
dhcp snooping enable
配置接口的信任状态,以保证客户端从合法的服务器获取IP地址。
在接口上开启 也可以用vlan 我这里使用vlan dhcp snooping enable vlan 1
int e0/0/1:dhcp snooping trusted ---信任状态可靠
使能ARP与DHCPSnooping的联动功能,保证DHCP用户在异常下线时实时更新绑定表。
arp dhcp-snooping-detect enabl
使能根据DHCP Snooping绑定表生成接口的静态MAC表项功能,以防止非DHCP用户攻击。
使能对DHCP报文进行绑定表匹配检查的功能,防止仿冒DHCP报文攻击。
int e0/0/1:dhcp snooping check dhcp-request enable
配置DHCP报文上送DHCP报文处理单元的最大允许速率,防止DHCP报文泛洪攻击。
dhcp snooping check dhcp-rate enable
dhcp snooping check dhcp-rate 10
配置允许接入的最大用户数以及使能检测DHCP Request
int e0/0/1:dhcp snooping max-user-number 2
dhcp dhcp snooping condiguration 查看dhcp snooping 配置信息
dis dhcp snooping interface e 0/0/1 查看dhcp snooping 运行信息
大部分都是禁用 是值得信赖的端口 trusted interface :yes
用户最大数量为二
对报文进行绑定表匹配检查的功能开启